EuGH v. 29.7.2019 – C-40/17 – Fashion ID: Wer den Facebook-Like-Button einbindet, ohne den Nutzer datenschutzrechtlich aufzuklären, kann abgemahnt werden

UPDATE 6.8.2019: EuGH v. 29.7.2019 – C-40/17 – Fashion ID

Der EuGH hat mit Urteil vom 29.7.2019 die Fragen des Oberlandesgerichts Düsseldorf entschieden. Das Urteil kurz zusammengefasst:

  • Der EuGH hält, wie schon in der Entscheidung zu den Facebook-Fanpages (EuGH v. 5.6.2018 – C-210/16 – Landeszentrum für Datenschutz Schleswig Holstein/Wirtschaftsakademie), denjenigen, der auf seiner Website ein Social Media Plugin einbindet für datenschutzrechtlich mitverantwortlich.
  • Einen solchen Verstoß gegen das Datenschutzrecht kann von einem Verbraucherverband mit einer Abmahnung verfolgt werden. Der EuGH hat keine Stellung dazu genommen, ob Verstöße gegen das Datenschutzrecht auch von Mitbewerbern abgemahnt werden können.
  • Wer ein Social Media Plugin einbindet, braucht hierfür eine vorherige datenschutzrechtliche Einwilligung des Besuchers der Internetseite. Ohne eine vorherige datenschutzrechtliche Einwilligung brauchen sowohl derjenige, der ein Social Media Plugin einbindet, als auch der Social Media Anbieter (im Fall Facebook) ein berechtigtes Interesse für die Datenverarbeitung. Dabei muss die Datenverarbeitung diesem berechtigten Interesse dienen.
  • Wer ein Social Media Plugin einbindet, muss den Besucher der Website über den Umfang der Datenverarbeitung informieren, allerdings nicht über die Datenverarbeitung beim Social Media Anbieter (Facebook). Er muss nur über diejenigen Vorgänge informieren, für die er selbst über die Zwecke und Mittel entscheidet.

Das Urteil lässt viel Interpretationsspielraum. Unklar ist, welche Informationen man den Besuchern der Internetseite nun zur Verfügung stellen muss. Über welche „Zwecke und Mittel“ der Datenverarbeitungsvorgänge er entscheidet ist ebenso unklar, wie die Frage, inwieweit man sich darauf berufen kann, der genaue Umfang der Datenerhebung und Datenverarbeitung bei Facebook kenne man nicht (siehe unten).

Update: OLG Düsseldorf legt mit Beschluss vom 19.1.2017 – I-20 U 40/16 – Fashion ID by Peek & Cloppenburg – die Sache dem EuGH vor

Das Oberlandesgericht Düsseldorf hat auf die Berufung der Beklagten das Verfahren ausgesetzt und dem EuGH folgende Rechtsfragen vorgelegt:

1. Steht die Regelung in Artikeln 22, 23 und 24 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995) einer nationalen Regelung entgegen, die neben den Eingriffsbefugnissen der Datenschutzbehörden und den Rechtsbehelfsmöglichkeiten des Betroffenen gemeinnützigen Verbänden zur Wahrung der Interessen der Verbraucher die Befugnis einräumt, im Falle von Verletzungen gegen den Verletzer vorzugehen?

Falls die Frage 1) verneint wird:

2. Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 (ABI. Nr. L 281/31 vom 23.11.1995), wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?

3. Falls die Frage 2 zu verneinen ist: Ist Art. 2 Buchstabe d) der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahingehend auszulegen, dass er die Haftung und Verantwortlichkeit in dem Sinne abschließend regelt, dass er einer zivilrechtlichen Inanspruchnahme eines Dritten entgegen steht, der zwar nicht „für die Verarbeitung Verantwortlicher“ ist, aber die Ursache für den Verarbeitungsvorgang setzt, ohne diesen zu beeinflussen?

4. Auf wessen „berechtigte Interessen“ ist in einer Konstellation wie der vorliegenden bei der nach Art. 7 Buchstabe f) der Richtlinie 95/46/EG vorzunehmende Abwägung abzustellen? Auf das Interesse an der Einbindung von Drittinhalten oder auf das Interesse des Dritten?

5. Wem gegenüber muss die nach Art. 7 Buchstabe a) und Art. 2 Buchstabe h) der Richtlinie 95/46/EG zu erklärende Einwilligung in einer Konstellation wie der vorliegenden erfolgen?

6. Trifft die Informationspflicht des Art. 10 der Richtlinie 95/46/EG in einer Situation wie der vorliegenden auch den Betreiber der Webseite, der den Inhalt eines Dritten eingebunden hat und so die Ursache für die Verarbeitung personenbezogener Daten durch den Dritten setzt?

LG Düsseldorf v. 9.3.2016 – 12 O 151/15 – Verbraucherzentrale NRW ./. Fashion ID by Peek & Cloppenburg

Gefällt nicht jedem: Der Facebook-Like-Button

Gefällt nicht jedem: Der Facebook-Like-Button

Geklagt hatte die Verbraucherzentrale Nordrhein-Westfalen gegen Fashion ID, ein Unternehmen der Peek & Cloppenburg (Düsseldorf) Gruppe. Diese betreibt einen Onlineshop für Bekleidung. Die Beklagte band auf ihrer Webseite den von Facebook in Form eines Plugins zur Verfügung gestellten „Like-Button“ ein [Ausschnitt]:

Der beanstandete Button der Beklagten

Der beanstandete Button der Beklagten

Der Like-Button befand sich auf der Startseite am unteren rechten Rand. Die Datenschutzerklärung der Beklagten war über einen Link erreichbar. Darin wies sie ihre Nutzer darauf hin, dass diese sich aus ihren sozialen Netzen ausloggen oder aber „Facebook-Blocker“ nutzen sollten, wenn diese eine Speicherung und Verknüpfung ihrer Daten mit sozialen Netzen verhindern wollten.

Like-Plugin identifiziert Facebook-Nutzer über Cookies und sendet auch IP-Adresse an Facebook

Das Gericht ging im Wesentlichen von folgendem Sachverhalt aus: Das „Like“-Plugin liefert automatisch bei jedem Aufruf Daten an Facebook aus: Unter anderem die (meistens dynamische) IP-Adresse desjenigen Nutzers, der die Seite der Beklagten aufrief und verschiedene weitere Informationen über das Computersystem des Internetnutzer (z.B. Betriebssystem, Browser). Das Plugin veranlasst dabei den Server der Beklagten, an den Browser des Nutzers einen HTML-Code zu versenden, der wiederum den Browser veranlasst, diese Daten an Facebook zu senden. Mit Hilfe dieses Plugins konnte Facebook Nutzer identifizieren, die gerade in ihr Facebook-Konto eingeloggt waren und die Website der Beklagten aufriefen. Über den von Facebook gesetzten Cookie konnten Facebook-Nutzer auch dann identifiziert werden, wenn diese ausgeloggt waren.

Der Kläger beanstandete die Nutzung des Facebook-Plugins als Verstoß gegen das Datenschutzrecht (§§ 12, 13 TMG). Dies sei zugleich wettbewerbswidrig. Denn diese datenschutzrechtlichen Vorschriften seien Marktverhaltensregeln. Eine Datenschutzerklärung müsse wie der Like-Button direkt auf der Seite verfügbar sein. Denn die Datenschutzerklärung müsse vor der Nutzung des Like-Buttons zur Verfügung gestellt werden. Das Landgericht Düsseldorf gab der Klägerin überwiegend Recht.

Entscheidend: Facebook kann Nutzer über IP-Adressse und Cookies identifizieren

Entscheidend für das Gericht war dabei die Möglichkeit von Facebook, einerseits mithilfe der IP-Adresse bei eingeloggten Facebook-Nutzern einen Personenbezug herzustellen und andererseits einen solchen Personenbezug bei ausgeloggten Nutzern mit Hilfe der von Facebook gesetzten Cookies herzustellen.

Das Gericht sah es vor diesem Hintergrund als nicht mehr entscheidend an, ob schon die Übermittlung der IP-Adresse ein Verstoß gegen das Datenschutzrecht sei. Nach Ansicht des Gerichts sei ein solcher Verstoß aber „naheliegend“, weil die IP-Adresse ein personenbezogenes Datum darstelle.

Die Beklagte sei auch „verantwortliche Stelle“ im Sinne den § 3 Abs. 7 BDSG. Denn indem sie das Like-Plugin einbinde, ermögliche sie die Datenerhebung und Datenbeschaffung durch Facebook. Dass die Beklagte keinen Einfluss auf das Facebook-Plugin habe, sei irrelevant, so das Gericht. Es reiche aus, dass ein Websitenbetreiber dadurch, dass er Drittinhalte (das Plugin) integriere, einen Datenverarbeitungsprozess auslöse. Gerechtfertigt sei die Datenübermittlung nicht. Denn die Website der Beklagten funktioniere auch ohne das „Like“-Plugin. Dieses sei nicht zwingend, auch wenn es einen Marketing-Effekt habe.

Datenschutzrechtliche Einwilligung muss bewusst und eindeutig sein

Eine Einwilligung in die Erhebung oder Weitergabe personenbezogener Daten müsse auch bewusst und eindeutig erklärt werden (§ 13 Abs. 2 TMG). Der bloße Link der Beklagten auf eine Datenschutzerklärung sei daher nicht ausreichend gewesen. Die Einbindung des Like-Buttons sei der Beklagten nicht unmöglich. Sie könne ja – was sie inzwischen auch tut – eine Einverständnisabfrage an den Nutzer vorschalten und diesen zu einem aktiven Einverständnis in die Datenweitergabe auffordern.

Der datenschutzrechtliche Verstoß sei schließlich auch wettbewerbswidrig. §§ 12 und 13 TMG seien nicht nur Verbraucherschutzgesetze, sondern auch „Marktverhaltensregeln“ (§ 3a UWG). Denn die Einbindung des Facebook-Plugins diene der Beklagten auch für Absatz und Werbung. Denn das Plugin beeinflusst das Nutzerverhalten insoweit, als die Anzahl derjenigen Nutzer angezeigt wird, die ein „Like“ gegeben haben.

Die Entscheidung überrascht nicht: Dass ein Gericht die weitverbreitete Praxis der Einbindung des „Like-Buttons“ ohne Einholung einer Einverständniserklärung des Nutzers als rechtswidrig ansehen würde, war nur eine Frage der Zeit. Ebenso wenig überraschend war die Einordnung von IP-Adressen als personenbezogene Daten. Denn das hatte der BGH bereits in seinen beiden „Websperren-Urteilen“ festgestellt, wenn auch eher beiläufig (BGH v. 26.11.2015 – I ZR 3/14, Rz. 64 – 3dl.am; BGH v. 26.11.2015 – I ZR 174/14, Rz. 77 – Haftung des Access-Providers).

Auch die Einordnung datenschutzrechtlicher Vorschriften als wettbewerbsrelevante Marktverhaltensregeln ist keine Sensation.

Zahlreiche Gerichte halten datenschutzrechtliche Vorschriften für wettbewerbsrelevant

Vorschriften über die Datenverarbeitung zu Werbezwecken (§§ 4, 28 BDSG)

halten für wettbewerbsrechtlich relevant:

  • OLG Karlsruhe (Urteil v. 9.5.2012, 6 U 38/11Neuer Versorger)
  • OLG Köln (Urteil v. 14.8.2009, 6 U 70/09Rückgewinnungsschreiben)
  • OLG Stuttgart (Urteil v. 22.2.2007, 2 U 132/06Werbung mit rechtswidrig erlangten Kundendaten)

Abgelehnt wird diese Annahme von:

  • OLG München (Urteil v. 12.1.2012, 29 U 3926/11Nutzung von Daten für Werberundschreiben)
  • OLG Frankfurt (Urteil v. 30.6.2005, 6 U 168/04Skoda-Autokids-Club)

Verstöße gegen die datenschutzrechtliche Informationspflicht im Internet, § 13 TMG

hält das Hanseatische Oberlandesgericht zugleich für einen Verstoß gegen das Wettbewerbsrecht (OLG Hamburg, v. 27.6.2013, 3 U 26/12Unter Alltagsbedingungen).

Abgelehnt wird diese Auffassung vom Kammergericht Berlin (KG v. 29.4.2011, 5 W 88/11Fehlende Belehrung über die Datennutzung in sozialen Netzwerk). In diesem Urteil ging es ebenfalls um die Nutzung des „Like-Buttons“ bei Facebook.

Datenschutzrechtskonforme Einwilligungen einholen: Plugins und Trackingsoftware (Google-Analytics, PIWIK, etc.)

Jeder, der eine Website betreibt, muss genau prüfen, welche Informationen seine Plugins oder die implementierte Tracking-Software sammelt und weitergibt. Mit einem entsprechenden Browser-Plugin kann jeder leicht feststellen, welche Tracking-Software eine Website verwendet.

Google-Analytics beispielsweise liefert ständig zahlreiche Informationen an Google-Server aus, darunter auch die IP-Adresse des jeweiligen Nutzers. Wer Google-Analytics datenschutzkonform nutzen möchte, muss mit Google einen vorformulierten Vertrag über die Nutzung von Google-Analytics mit Regelungen über die Auftragsdatenverarbeitung abschließen und die IP-Adressen teilanonymisieren.

PIWIK sendet zwar keine Daten an externe Server (vorausgesetzt, PIWIK wird auf einem eigenem Server betrieben), setzt aber Cookies. PIWIK kann aber mithilfe eines Plugins die IP-Adressen teilanonymisieren.

Einwilligung „zu Beginn des Nutzungsvorgangs“

Wer also personenbezogene Daten des Nutzers erhebt und verwendet, muss den Nutzer der betreffenden Internetseite hierüber unterrichten und dessen Einwilligung einholen. Sonst drohen nicht nur datenschutzrechtliche Sanktionen, sondern auch wettbewerbsrechtliche Abmahnungen. Auch der Zeitpunkt der Einwilligung ist gesetzlich klar geregelt: „Zu Beginn des Nutzungsvorgangs“, § 13 Abs. 1 TMG.

Autor: Anwalt für Wettbewerbsrecht und Fachanwalt für gewerblichen Rechtsschutz Thomas Seifried

Sofortige Ersteinschätzung

Thomas Seifried

Thomas Seifried

Haben Sie Fragen zum Thema? Rufen Sie uns an: 069 915076-0

Ihr Ansprechpartner: Thomas Seifried, Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz

„Rechtssicher werben“ – Kostenloses Ebook zum Werberecht:

Download "Rechtssicher werben"

Download „Rechtssicher werben“

„Rechtssicher werben“ – Alles zum Wettbewerbs- und Werberecht: Print, Online, SEA und SEO, Influencer mit vielen Beispielen aus der Rechtsprechung bis 2019.

Jetzt kostenlos „Rechtssicher werben“ herunterladen (ohne Anmeldung)

„Abgemahnt – Die erste Hilfe Taschenfibel“ – Kostenloses Ebook über Abmahnungen

Abgemahnt? Die erste Hilfe Taschenfibel in neuer Version (März 2015) erschienen

Download „Abgemahnt? Die erste Hilfe Taschenfibel“

Abmahnung erhalten? Jetzt kostenlos herunterladen: Ebook über Abmahnungen im Wettbewerbsrecht, Markenrecht, Geschmacksmusterrecht und Internetrecht – Mit drei Muster-Unterlassungserklärungen

Jetzt kostenlos„Abgemahnt – Die erste-Hilfe Taschenfibel“ herunterladen (ohne Anmeldung)

Mehr zum Wettbewerbsrecht und Werberecht:

Fanpage-Betrieber mitverantwortlich für die Datenerhebung durch Facebook? EuGH sagt "ja!"EuGH v. 29.7.2019 – C-40/17 – Fashion ID: Wer den Facebook-Like-Button einbindet, ohne den Nutzer datenschutzrechtlich aufzuklären, kann abgemahnt werden



Comments are closed.